Déployer des certificats de serveur pour des déploiements câblés et sans fil 802.1X

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Vous pouvez utiliser ce guide pour déployer des certificats de serveur sur vos serveurs d’infrastructure NPS (Network Policy Server) et d’accès à distance.

Ce guide contient les sections suivantes.

• Conditions préalables à l’utilisation de ce guide

• Ce que ce guide ne contient pas

• Vues d’ensemble des technologies

• Vue d’ensemble du déploiement de certificats de serveur

• Planification du déploiement de certificats de serveur

• Déploiement de certificats de serveur

Certificats de serveur numérique

Ce guide fournit des instructions sur l’utilisation des services de certificats Active Directory (AD CS) pour inscrire automatiquement les certificats auprès des serveurs d’infrastructure NPS et d’accès à distance. AD CS vous permet de générer une infrastructure à clé publique (PKI) et de fournir un chiffrement à clé publique, des certificats numériques et des fonctions de signature numérique pour votre organisation.

Quand vous utilisez des certificats de serveur numériques pour l’authentification entre ordinateurs de votre réseau, les certificats fournissent :

1. la confidentialité grâce au chiffrement ;
2. l’intégrité grâce aux signatures numériques ;
3. L’authentification par association de clés de certificat à des comptes d’ordinateur, d’utilisateur ou d’appareil sur un réseau informatique.

Types de serveur

À l’aide de ce guide, vous pouvez déployer des certificats de serveur sur les types de serveur suivants.

• Serveurs qui exécutent le service d’accès à distance, qui sont des serveurs DirectAccess ou des serveurs VPN (réseau privé virtuel) standard, et qui sont membres du groupe Serveurs RAS et IAS.
• Serveurs qui exécutent le service NPS (Network Policy Server) et qui sont membres du groupe Serveurs RAS et IAS.

Avantages de l’inscription automatique des certificats

L’inscription automatique des certificats de serveur, également appelée inscription automatique, offre les avantages suivants.

• L’autorité de certification AD CS inscrit automatiquement un certificat de serveur auprès de tous vos serveurs NPS et d’accès à distance.
• Tous les ordinateurs du domaine reçoivent automatiquement votre certificat d’autorité de certification, qui est installé dans le magasin Autorités de certification racines de confiance sur chaque ordinateur membre du domaine. Ainsi, tous les ordinateurs du domaine font confiance aux certificats émis par votre autorité de certification. Cette approbation permet à vos serveurs d’authentification de se prouver leur identité entre eux, et d’établir des communications sécurisées.
• À l’exception de l’actualisation de la stratégie de groupe, la reconfiguration manuelle de chaque serveur n’est pas nécessaire.
• Chaque certificat de serveur inclut à la fois l’objectif d’authentification serveur et l’objectif d’authentification client dans les extensions d’utilisation améliorée de la clé.
• Scalabilité. Une fois que vous avez déployé votre AC racine d’entreprise à l’aide de ce guide, vous pouvez étendre votre infrastructure PKI (infrastructure à clé publique) en ajoutant des autorités de certification secondaires d’entreprise.
• Facilité de gestion. Vous pouvez gérer AD CS à l’aide de la console AD CS ou de commandes et de scripts Windows PowerShell.
• Simplicité. Vous spécifiez les serveurs qui inscrivent les certificats de serveur à l’aide des comptes de groupe Active Directory et de l’appartenance aux groupes.
• Quand vous déployez des certificats de serveur, ils sont basés sur un modèle que vous configurez en suivant les instructions de ce guide. Cela signifie que vous pouvez personnaliser différents modèles de certificat pour des types de serveur spécifiques, ou que vous pouvez utiliser le même modèle pour tous les certificats de serveur à émettre.

Conditions préalables à l’utilisation de ce guide

Ce guide fournit des instructions sur le déploiement de certificats de serveur à l’aide d’AD CS et du rôle serveur Serveur web (IIS) dans Windows Server 2016. Vous trouverez ci-dessous les prérequis pour l’exécution des procédures décrites dans ce guide.

• Vous devez déployer un réseau de base à l’aide du Guide du réseau de base pour Windows Server 2016, ou vous devez avoir installé et fait fonctionner correctement les technologies décrites dans le Guide du réseau de base sur votre réseau. Ces technologies incluent TCP/IP v4, DHCP, Active Directory Domain Services (AD DS), DNS et NPS.

  Remarque

  Le Guide du réseau de base Windows Server 2016 est disponible dans la bibliothèque technique Windows Server 2016. Pour plus d’informations, consultez le Guide du réseau de base.

• Vous devez lire la section de ce guide relative à la planification pour vérifier si vous êtes prêt à effectuer le déploiement.

• Vous devez effectuer les étapes de ce guide dans l’ordre dans lequel elles sont présentées. Ne vous précipitez pas et ne déployez pas votre autorité de certification sans avoir effectué les étapes qui mènent au déploiement du serveur, sinon votre déploiement sera un échec.

• Vous devez être prêt à déployer deux nouveaux serveurs sur votre réseau : un serveur sur lequel vous allez installer AD CS en tant qu’AC racine d’entreprise, et un autre serveur sur lequel vous allez installer le serveur web (IIS) pour que votre autorité de certification puisse publier la liste de révocation de certificats sur le serveur web.

Notes

Vous êtes prêt à affecter une adresse IP statique aux serveurs web et AD CS que vous déployez avec ce guide ainsi qu’à nommer les ordinateurs en fonction des conventions de nommage de votre organisation. De plus, vous devez joindre les ordinateurs à votre domaine.

Ce que ce guide ne contient pas

Ce guide ne fournit pas d’instructions complètes sur la conception et le déploiement d’une infrastructure PKI (infrastructure à clé publique) à l’aide d’AD CS. Il est recommandé de passer en revue la documentation d’AD CS ainsi que la documentation relative à la conception d’une infrastructure PKI avant de déployer les technologies décrites dans ce guide.

Vues d’ensemble des technologies

Vous trouverez ci-dessous des vues d’ensemble des technologies pour AD CS et le serveur web (IIS).

Services de certificats Active Directory

AD CS dans Windows Server 2016 fournit des services personnalisables pour la création et la gestion des certificats X.509 utilisés dans les systèmes de sécurité logicielle qui emploient des technologies reposant sur une clé publique. Les organisations peuvent utiliser AD CS pour améliorer la sécurité en liant l’identité d’une personne, d’un appareil ou d’un service à une clé publique correspondante. AD CS comprend également des fonctionnalités qui vous permettent de gérer l’inscription et la révocation de certificats dans divers environnements scalables.

Pour plus d’informations, consultez la vue d’ensemble des services de certificats Active Directory et le guide de conception d’une infrastructure à clé publique.

Serveur Web (IIS)

Le rôle Serveur web (IIS) dans Windows Server 2016 fournit une plateforme sécurisée, facile à gérer, modulaire et extensible pour l’hébergement fiable des sites web, des services et des applications. À l’aide d’IIS, vous pouvez partager des informations avec d’autres utilisateurs sur Internet, un intranet ou un extranet. IIS est une plateforme web unifiée qui intègre IIS, ASP.NET, les services FTP, PHP et WCF (Windows Communication Foundation).

Pour plus d’informations, consultez Vue d’ensemble du serveur web (IIS).